GIODO dla sklepów internetowych

Jeśli jesteś właścicielem sklepu internetowego  lub strony internetowej nie możesz pozwolić sobie na takie zaniedbanie jak brak informacji na temat RODO. Dlaczego? Ponieważ musisz postępować zgodnie z jego zasadami, a ich nieprzestrzeganie może grozić konsekwencjami w postaci sankcji finansowych (oj, wcale nie małych!!!).

Na pewno samo słowo RODO zdążyło Ci się obić o uszy już nie raz, nie dwa. Wszędzie o tym głośno, każdy coś komentuje, każdy uczestniczy w szkoleniach, każdy coś publikuje, tablice na profilach społecznościowych pękają w szwach. Nie można się przecież nie pochwalić tak prestiżowym przedsięwzięciem jak konferencja RODO. Jednym słowem RODO po oględzinach tej rzeszy wszechobecnych publikacji niesie za sobą jedno: „Drżyjcie narody!”. Obecnie mamy TEN moment (do maja bądź ciut dłużej), w którym każdy, kto wykazał się szybkością chłonięcia nowinek, wykazał się poświęceniem i zaangażowaniem zarabia na niewiedzy innych – tych innych – którzy tak właśnie sobie drżą na samą myśl o intruzie w postaci RODO.

TO MAKE A LONG STORY SHORT

Obecnie podstawowym aktem prawnym, który reguluje ochronę danych osobowych w naszym kraju jest UODO, czyli Ustawa o Ochronie Danych Osobowych. Taki stan rzeczy będzie musiał się zmienić, ponieważ obecna ustawa będzie musiała być zastąpiona nowym aktem prawnym, który będzie współgrał z postanowieniami unijnego rozporządzenia.

Na mocy nowej ustawy GIODO przestaje istnieć, a na jego miejscu pojawi się UODO, czyli Urząd Ochrony Danych Osobowych.

Zbiór danych

Rejestracja zbioru danych w GIODO to temat spędzający sen z powiek niejednemu właścicielowi sklepu internetowego. Do teraz, w myśl UODO:

„Baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.”

Dodatkowo jeśli dane osobowe klientów e-sklepu są przetwarzane w różnych celach, np. w celu realizacji zamówień, statystyk, czy marketingu, nie mamy obowiązku zgłoszenia jednego, a kilku zbiorów danych. Obowiązująca Ustawa przewiduje odstępstwo od rejestracji bazy w przypadku powołania przez podmiot osoby będącej Administratorem Bezpieczeństwa Informacji. Co ważne – jeśli ABI jest powołany, ale przetwarzamy dane osobowe wrażliwe nie jesteśmy zwolnieni z obowiązku rejestrowania bazy danych w GIODO.

Po 25 maja 2018 roku ZNIKA obowiązek rejestrowania zbiorów danych. Natomiast obowiązkiem stanie się prowadzenie rejestru czynności przetwarzania.

Checkbox – zgoda klienta

Bezwzględnie istotną z punktu widzenia sklepów internetowych są zgody na przetwarzanie danych osobowych, wyrażane najczęściej na koniec procesu zakupowego produktu lub usługi.

Dotychczas zgody te niezmiennie były pisane w sposób niezrozumiały, wielokrotnie kilka zgód było zawartych w jednym kompletnie nieczytelnym punkcie (nieczytelnym bądź nieczytanym z lenistwa, ALE kto by miał czas i ochotę czytać 126363 linijek – wydających się na pierwszy rzut oka absurdalnych – długich poematów. I tutaj pojawiał się on: odgórnie zaznaczony checkbox.

Z pewnością każdy z nas podczas zakupów internetowych spotkał się kiedyś z punktem, w którym wyszczególniona była zarówno zgoda na przetwarzanie danych osobowych w celach fakturowania, ale też dla celów marketingowych lub zgoda na udostępnianie danych podmiotom trzecim. Jeden checkbox – jedna zgodna i tracimy kontrolę nad swoimi danymi – KURTYNA!!! Od maja RODO tego absolutnie zabrania.

Nowe zasady formułowania zgody na przetwarzanie danych osobowych

Zasady dotyczące formułowania nowych „zgód”:

  • Muszą być jednoznaczne i konkretne;
  • Muszą być wyrażane świadomie i dobrowolnie (zakazuje się odgórnego zaznaczania checkboxów)
  • Muszą mieć charakter wyraźnego działania – oświadczenia lub potwierdzenia
  • Muszą być formułowane jasnym i czytelnym językiem (zawiłe będą traktowane jako nieskuteczne)

W tym miejscu nie wiem, czy bardziej współczuć właścicielom nowych obowiązków wstawiania ogromnych formuł – co odstrasza już na samą myśl – czy współczuć konsumentom w perspektywie przebrnięcia przez te elaboraty (tak naiwnie trochę, bo wątpliwe, aby ktokolwiek to jednak czytał. Umówmy się…)

Nowe przepisy mają na celu zwiększenie świadomości konsumenta w zakresie praw i stopnia wykorzystywania jego danych osobowych. Według nowych zasad konsument musi być poinformowany o celu i sposobie przetwarzania danych osobowych. Kupujący musi być również zapewniony, że dane nie zostaną wydane podmiotom trzecim, a także, że ma prawo do żądania od administratora danych osobowych zaprzestania ich przetwarzania. Regulaminy muszą również zawierać informacje o możliwości wniesienia skargi przez konsumenta do organu nadzorczego.

Inspektor Ochrony Danych Osobowych

Kolejna rewolucja – zastąpienie stanowiska Administratora Bezpieczeństwem Informacji – Inspektorem Ochrony Danych Osobowych.

Rejestr czynności

Każdy podmiot będzie zobowiązany do prowadzenia rejestru wewnętrznego czynności przetwarzania danych, z oceną skutków przetwarzania dla ochrony danych osobowych.

Zapis w umowie

Do tej pory w umowach między firmami, dla przykładu, zawieranych przy zlecaniu usług podmiotom zewnętrznym, mógł znajdować się zapis dotyczący zachowania poufności. W myśl nowych zasad, każda umowa będzie musiała zostać wzbogacona o zapis dotyczący ochrony danych osobowych. Outsourcing usług dotyczy najczęściej kwestii finansowych (księgowości), kadrowych, IT, prawnych, a także usług archiwizacji i niszczenia dokumentacji. Nowa ustawa wymusi zatem na firmach, aby rozważnie wchodziły we współpracę z innymi podmiotami, wybierając tylko tych partnerów, którzy spełniają wymagania wynikające z RODO.

Profilowanie klienta

Profilowanie klienta jest kluczem do sukcesu w kwestii budowania sieci odbiorców naszych usług – chyba nie trzeba tego tłumaczyć supersprzedawcom. Wszyscy chcą, aby ich oferta dopasowywała się do wymagań klientów, nierzadko zaspokajała nawet jego niewypowiedziane potrzeby, czytała w myślach, była zawsze o krok do przodu przed potrzebą. Profilowanie to zatem nic innego, niż przetwarzanie danych osobowych w skutek grupowania ich pod kątem demograficznym lub behawioralnym. Po wejściu nowych przepisów, klient musi wiedzieć, być świadomy, że podlega profilowaniu i bezwzględnie musi wyrazić na to zgodę.

Obowiązek zgłoszenia wycieku

Po wejściu RODO, Administrator Danych Osobowych jest również zobowiązany do zgłoszenia jednostce nadzorującej wszystkich incydentów, które spowodowały wyciek danych osobowych, bądź godziły w bezpieczeństwo ich przechowywania. W sytuacji kiedy dane klientów wyciekną podmiot będzie zobowiązany do powiadomienia wszystkich osób, których ten incydent dotyczył.

Ujednolicenie zasad dotyczących odpowiedzialności

Do tej pory każdy podmiot, który przetwarzał dane osobowe, zgodnie z Ustawą jest zobowiązany do przestrzegania jej zasad. Za nieprzestrzeganie grozi ograniczenie lub pozbawienie wolności do lat 2. Podobną karę możemy dostać za udostępnianie lub umożliwienie dostępu do danych osobom nieupoważnionym. Niezabezpieczenie danych w odpowiedni sposób to kara ograniczenia lub pozbawienia wolności do 1 roku.

RODO ujednolica i podwyższa system kar za naruszanie przepisów o ochronie danych osobowych. Kary mogą wynosić do 20 000 000 euro lub do 4% całkowitego obrotu przedsiębiorstwa za rok poprzedni.

Wiele się zmieni, trudno jednoznacznie stwierdzić czy na lepsze czy zdecydowanie nie… Jednak bez wątpienia zostało mało czasu – trzy miesiące na nie tylko zapoznanie się z nowymi zasadami ochrony danych osobowych, ale to czas, który pozostał, aby w prawidłowy sposób przystosować platformę sprzedażową przed 25 maja 2018 roku. Także do dzieła!